Compartilhar via


Configurar o upload automático de log para relatórios contínuos

Os coletores de log permitem automatizar facilmente o upload de log da sua rede. O lixo de log é executado na sua rede e recebe logs em Syslog ou FTP. Cada log é processado, compactado e transmitido automaticamente para o portal. Os logs de FTP são carregados no Microsoft Defender para Aplicativos na Nuvem depois que o arquivo concluiu a transferência de FTP para o Coletor de Logs. Para o Syslog, o Coletor de Logs grava os logs recebidos no disco. Em seguida, o coletor carrega o arquivo no Defender para Aplicativos na Nuvem quando o tamanho do arquivo é maior que 40 KB.

Depois que um log é carregado, o Defender para Aplicativos na Nuvem move o log para um diretório de backup. O diretório de backup armazena os últimos 20 logs. Quando novos logs chegam, os antigos são excluídos. Sempre que o espaço em disco do coletor de logs estiver cheio, o coletor de logs descarta novos logs até que tenha mais espaço em disco livre (isso não deve acontecer se os pré-requisitos forem devidamente atendidos). Você receberá um aviso na guia Coletores de logs das configurações Fazer upload de logs automaticamente quando isso acontecer.

Antes de configurar a coleta automática de arquivos de log, verifique se o log corresponde ao tipo de log esperado. Você deseja garantir que o Defender para Aplicativos na Nuvem possa analisar seu arquivo específico. Para saber mais, consulte Usar logs de tráfego para o Cloud Discovery.

Observação

  • O Defender para Aplicativos de Nuvem dá suporte ao encaminhamento de logs do servidor SIEM para o coletor de logs, supondo que os logs estão sendo encaminhados no formato original. No entanto, é altamente recomendável que você integre o coletor de logs diretamente ao seu firewall e/ou proxy.
  • O coletor de logs compacta os dados antes de eles serem carregados. O tráfego de saída no coletor de logs será de 10% do tamanho dos logs de tráfego recebidos.
  • Se o coletor de logs encontrar problemas, você receberá um alerta quando deixar de receber dados por 48 horas.

Pré-requisitos

  • Espaço em disco: 250 GB.
  • Núcleos de CPU: 2
  • Arquitetura da CPU: Intel® 64 e AMD 64
  • RAM: 4 GB
  • Defina o firewall conforme descrito nos Requisitos de rede

Observação

Se você tiver um coletor de logs existente e quiser removê-lo antes de implantá-lo novamente, ou se simplesmente quiser removê-lo, execute os seguintes comandos:

docker stop <collector_name>

docker rm <collector_name>

Observação

Para instalar uma nova versão do coletor de logs, você precisará interromper o coletor de logs, remover a imagem atual e instalar a nova.

Desempenho do coletor de logs

O coletor de logs pode lidar com êxito com a capacidade de logs de até 50 GB por hora. Os principais gargalos no processo de coleta de logs são:

  • Largura de banda da rede – a largura de banda da rede determina a velocidade de upload do log.
  • Desempenho de E/S da máquina virtual – determina a velocidade em que os logs são gravados no disco do coletor de logs. O coletor de logs tem um mecanismo de segurança interno que monitora a taxa na qual os logs chegam e a compara à taxa de upload. Em casos de congestionamento, o coletor de logs começa a remover os arquivos de log. Se a configuração geralmente excede 50 GB por hora, recomendamos que você divida o tráfego entre vários coletores de logs.

O coletor de logs dá suporte ao modo de implantação Contêiner. Para saber mais, veja:

Próximas etapas